[1. 3] Microsofts strømprogrammer Portal Service er designet for å gjøre utviklingen av web- eller mobilapper enklere. Dessverre, på grunn av et problem med standard sikkerhetsinnstilling, var 38 millioner brukere data offentlig tilgjengelig når det ikke burde vært.
Hva skjedde med Microsoft Power Apps?
I hovedsak er Microsoft Power Apps-plattformen som standardiseres for å gjøre dataene offentlig tilgjengelige i stedet for å holde dataene som standard som standard, som oppdaget av Upguard. og rapportert av. Kablet . Dessverre betydde dette at alle som ønsker å raskt få en webapp på og kjører med disse Apis ville trenge å aktivere sikkerheten manuelt, i stedet for omvendt.
"UPGUARD-forskningsgruppen kan nå avsløre flere dataglekkasjer som følge av Microsoft Power Apps-portaler som er konfigurert til å tillate offentlig tilgang - en ny vektor av dataeksponering," Upguard sa i en blogg innlegg .
Microsoft Power Apps brukes av et bredt spekter av bedrifter og offentlige organer. Fordi det er raskt og enkelt å få et nettsted eller app som går, ble det brukt ganske ofte for Covid-19 Verktøy Slike som kontaktsporing, vaksine påmeldingsformer, og så videre. Plattformen var også populær for lagring av jobbapplikasjonsportaler og ansattes databaser.
Disse verktøyene kan inneholde sensitive brukerdata, og et sjokkerende antall av dem hadde ikke sikkerhetstiltakene slått på. Det betyr data som telefonnumre, hjemmeadresser, personnummer og Covid-19-vaksinasjonsstatus ble utsatt for alle som skjedde for å være på utkikk etter dem.
Bare noen få eksempler på organisasjoner som dette berørte er American Airlines, Ford, J.B. Hunt, Maryland Department of Health, New York City Municipal Transportation Authority, og New York City Public Schools.
Er det en løsning?
Heldigvis har situasjonen allerede vært adressert av Microsoft. . Selskapet har nå gjort det slik at standardinnstillingene ikke tillater API-data og annen informasjon å være offentlig tilgjengelig. I stedet må utviklere aktivere denne innstillingen manuelt, noe som sannsynligvis er hvordan det burde vært fra dag ett.
Det kommer alltid til å være data som utviklere vil ha offentlig, så de må gå gjennom det ekstra trinnet med å velge data tilgjengelig i stedet for å gå gjennom den ekstra innsatsen for å gjøre det skjult. Dette er definitivt en bedre måte å gå for folk som bruker disse webappene, da det lar dem være trygg på at deres private data holdes konfidensielt. Skaden er imidlertid gjort i dette tilfellet. Vi må vente på Fallout for å se hvor ille det er.
